Loading…
Falls Sie sich jemals gefragt haben, ob Sie Ihr EU-DSGVO-Programm einfach ins Vereinigte Königreich kopieren können, lautet die kurze Antwort: größtenteils ja, mit drei substanziellen Ausnahmen. Seit dem 1. Januar 2021 betreibt das Vereinigte Königreich die UK GDPR neben dem Data Protection Act 2018, mit dem Information Commissioner's Office (ICO) als alleiniger Behörde. Der Data (Use and Access) Act 2025 hat das Vereinigte Königreich weiter vom EU-Rahmen entfernt – und ein EU-Angemessenheitsbeschluss hält den Datenfluss EU↔UK mindestens bis 2025 offen.
| Dimension | 🇬🇧 UK GDPR | 🇪🇺 EU-DSGVO |
|---|---|---|
| Rechtsinstrument | UK GDPR (die übernommene EU-DSGVO in geänderter Fassung) + Data Protection Act 2018 + Data (Use and Access) Act 2025 | Verordnung (EU) 2016/679 |
| Datum des Inkrafttretens in der aktuellen Form | 1. Januar 2021 (nach dem Brexit) | 25. Mai 2018 |
| Aufsichtsbehörde | Information Commissioner's Office (ICO) – eine Behörde | 27 Datenschutzbehörden der EU-Mitgliedstaaten + EDPB |
| Höchstbußgeld | £17.5M oder 4 % des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) | €20M oder 4 % des weltweiten Umsatzes |
| Bußgeld der unteren Stufe | £8.7M oder 2 % des weltweiten Umsatzes | €10M oder 2 % des weltweiten Umsatzes |
| Vertreter nach Artikel 27 | Separater UK-Vertreter für nicht im Vereinigten Königreich ansässige Verantwortliche/Auftragsverarbeiter erforderlich | EU-Vertreter für nicht in der EU ansässige Verantwortliche/Auftragsverarbeiter erforderlich |
| Internationale Übermittlungen – Instrumente | UK IDTA, UK-Addendum zu EU-SCCs, BCRs, Angemessenheit | EU-SCCs, BCRs, Angemessenheit |
| Angemessenheit der EU durch das Vereinigte Königreich | Ja – die EU wird als angemessen behandelt | Die EU-Angemessenheit des Vereinigten Königreichs ist mindestens bis zum 27. Juni 2025 gültig (mit Verlängerungsbestimmungen) |
| Einwilligungsalter von Kindern | 13 (UK) – abweichend vom EU-Standard 16 | 16 (Mitgliedstaaten können auf 13 senken) |
| Age Appropriate Design Code | Ja – gesetzlicher ICO-Kodex (15 Standards) | Kein direktes Äquivalent auf EU-Ebene |
| PECR / ePrivacy | PECR – das ePrivacy-Regime des Vereinigten Königreichs regelt Cookies, Marketing und Verkehrsdaten | ePrivacy-Richtlinie (Umsetzungen der Mitgliedstaaten); ePrivacy-Verordnung steht aus |
| DPDI-/DUA-Act-Reformen | Data (Use and Access) Act 2025: gezielte Reformen – automatisierte Entscheidungsfindung, Forschung, Verarbeitung durch gemeinnützige Organisationen, Smart-Data-Systeme, digitale Identität | Nicht direkt anwendbar; die EU verfolgt sektorale Rechtsakte (AI Act, Data Act, DSA, DMA) |
| Recht auf Datenübertragbarkeit | Artikel 20 – wie in der EU | Artikel 20 |
| Recht auf Widerspruch gegen automatisierte Entscheidungen | Artikel 22 – die vom DPDI vorgeschlagenen Änderungen wurden nie in der ursprünglich entworfenen Form erlassen | Artikel 22 – streng |
| DPO-Anforderungen | Artikel 37 – keine separate Schwelle; Verantwortung des oberen Managements nach dem DUAA | Artikel 37 – in definierten Fällen verpflichtend |
| Federführende Aufsichtsbehörde | ICO (einzeln) | EDPB-One-Stop-Shop-Mechanismus über 27 Aufsichtsbehörden |
| Meldung von Datenschutzverletzungen | 72 Stunden an das ICO (wie in der EU) | 72 Stunden an die federführende Aufsichtsbehörde |
| Beantwortung von Auskunftsersuchen betroffener Personen | 1 Monat + Verlängerung um 2 Monate (wie in der EU) | 1 Monat + Verlängerung um 2 Monate |
| Besondere Kategorien personenbezogener Daten (Art. 9) | Schedule 1 DPA 2018 ergänzt Bedingungen für die Verarbeitung in den Bereichen Beschäftigung, öffentliche Gesundheit und Forschung | Artikel 9 + Recht der Mitgliedstaaten |
| Rahmen für den öffentlichen Sektor | DPA 2018 Part 3 (Strafverfolgung) + Part 4 (Nachrichtendienste) | Richtlinie zur Strafverfolgung 2016/680 (getrennt von der DSGVO) |
Ja. Seit dem Brexit sind die EU und das Vereinigte Königreich für die Zwecke von Artikel 27 getrennte Rechtsräume. Ein nicht in der EU/im Vereinigten Königreich ansässiger Verantwortlicher, der Personen in beiden Regionen Dienste anbietet, benötigt sowohl einen EU-Vertreter als auch einen UK-Vertreter – diese können über einen einzigen Anbieter koordiniert werden, müssen aber rechtlich getrennte Einheiten sein.
Seit den DPDI-Vorschlägen wird dies politisch diskutiert. Der aktuelle Angemessenheitsbeschluss (Juni 2021) ist mindestens bis zum 27. Juni 2025 gültig, mit Verlängerungsbestimmungen. Die Kommission überwacht die Reformen des Vereinigten Königreichs – eine erhebliche Divergenz (großflächige Änderungen der Rechte betroffener Personen, des Übermittlungsregimes in Drittländer) könnte eine Überprüfung auslösen.
Ja, in den meisten Fällen. Bestimmen Sie für beide den Verantwortlichen, nennen Sie beide Vertreter und verweisen Sie für Beschwerden auf beide Behörden. Unterschiede beim Einwilligungsalter und der Age Appropriate Design Code können UK-spezifische Abschnitte für Dienste erfordern, die wahrscheinlich von Kindern genutzt werden.
Gezielte Reformen statt einer vollständigen Neufassung – Bestimmungen zur automatisierten Entscheidungsfindung wurden für abgesicherte Fälle gelockert, die Forschungsverarbeitung präzisiert sowie Smart-Data- und digitale Identitätssysteme eingeführt. Die meisten alltäglichen Compliance-Anforderungen bleiben unverändert.
Ja – er muss im Vereinigten Königreich niedergelassen sein. Eine im Vereinigten Königreich ansässige natürliche Person oder eine UK-Rechtsperson kommt infrage. Reine Postfachdienste wurden vom ICO abgelehnt.
Einmal Kontrollen zuordnen, doppelt konform sein. RegulatoryBridge bietet Ihnen eine einzige DSAR-Pipeline, einen einzigen DPO, ein einziges Breach-Runbook – beide Rahmenwerke abgedeckt.